Günümüzde teknolojinin gelişimi, siber alanda hem savunma hem de saldırı sistemlerinin işine yarıyor. Bir anlamda iyi ile kötünün savaşı gibi ele alınabilecek bu konuda araştırma ve danışmanlık şirketlerinin raporları işin rengine dair bize ışık tutuyor.
Uluslararası danışmanlık şirketi Ernst & Young’ın “EY Küresel Siber Güvenlik Liderliği İç Görüleri” araştırması gibi… Araştırmaya göre kuruluşlar, siber güvenliği dikkate alıyor ve her geçen gün siber güvenlik alanına yönelik yatırımlarını artırıyor. Ancak bu noktada teknolojideki gelişimler her iki tarafın da işine yaradığından siber savunma sistemleri güçlenirken, siber saldırganlar da çok daha etkili saldırılar gerçekleştiriyor. Nitekim araştırmaya göre de son beş yılda siber saldırı sayısında yüzde 75’lik bir artış göstermiş.
Küresel Siber Güvenlik Liderliği İç Görüleri araştırmasına göre artan siber saldırı tehditlerine karşı bu alanda yapılan düzenli yatırımlara rağmen, bilgi güvenliği liderleri ve üst düzey yöneticilerden sadece beşte biri, yaklaşımlarının bugünün ve yarının zorluklarına karşı etkili olduğunu düşünüyor. Bir başka deyişle neredeyse tamamı güvenlik yaklaşımlarını bugün ve gelecek perspektifinde yetersiz buluyor. İlaveten şirketlerin dörtte üçü ise bir siber saldırı vakasını tespit edip müdahaleye geçmesinin ortalama altı ay veya daha uzun sürdüğünü kaydediyor.
Araştırmaya göre, 2010 ile 2022 yılları arasında siber güvenlik alanına 1,3 trilyon ABD doları yatırım yapıldı ve bu yatırım yıllık olarak yüzde 16,6 oranında arttı. Fidye yazılımı saldırılarının şirketlere maliyetlerinin 2021 yılında 20 milyar ABD doları olduğu, 2031 yılına kadar bu miktarın 265 milyar ABD doları seviyesine ulaşmasının beklendiği de belirtiliyor.
EY araştırmasına göre en etkili siber güvenliğe sahip şirketler elbette daha avantajlı. Öyle ki bu şirketler, siber güvenlik alanında daha düşük performans gösteren şirketlere oranla daha az siber vaka yaşıyor. Vakaları tespit etme ve yanıt verme konusunda daha hızlı aksiyon alan şirketler araştırma kapsamında “Şirketinizin günümüz siber güvenlik yaklaşımlarından memnun musunuz?” sorusuna yüzde 51 oranında olumlu yanıt verirken; “Yarının siber tehditlerine karşı kendinizi hazır hissediyor musunuz?” sorusuna ise yüzde 53 oranında “evet” demiş.
Bulut, IoT ve tedarik zincirleri siber risk halkaları
En etkili siber güvenliğe sahip şirketlerde Baş Bilgi Güvenliği Yöneticisi olarak Türkçeye çevrilebilecek Chief Information Security Officer (CISO) pozisyonunda bulunanların yarısı, kuruluşlarının siber güvenlik yaklaşımlarında bulut düzenlemesi ve otomasyonu kullandığını belirtiyor.
Çalışmada görülüyor ki araştırma anketine katılan dört kişiden üçü, bulut ve IoT (nesnelerin interneti) konularının gelecek beş yılda en önemli teknoloji başlıkları olacağını düşünüyor. Araştırmaya göre bulut teknolojisinin benimsenmesi, siber saldırıları artırdığından en önemli risk halkası olmaya devam edecek. Bunun en önemli sebebi, bulut arayüzleri ve ortamı etrafında yeterli analiz ve planlama yapılmadan bulut ve IoT sistemlerine geçiş yapılması halinde şirketlerin risk ile yüz yüze gelmesi.
Araştırmada öne çıkan bir diğer risk faktörü de tedarik zincirleri olarak görülüyor. Günümüzde tedarik zincirlerindeki işletmeler birbirine dijital olarak bağlı olmak zorunda. Siber saldırıların yönelimine bakıldığında son beş yılda en zayıf halka olarak tedarik zincirlerinin görüldüğü de bir gerçek olarak karşımızda duruyor. Bu sebeple CISO'lara bir defaya mahsus değil düzenli olarak kuruluşlarının tedarik zincirlerini kontrol altında tutması öneriliyor.
Sonuçta siber güvenlik araçları ve uygulamaları karmaşıklık, hız ve etkililik bakımından teknolojiyle birlikte bir hayli gelişti. Ancak ironik olarak etkili siber güvenliğe yönelik en büyük tehdidi de güvenlik önlemlerinin bu karmaşık hali oluşturuyor. Teknolojik ortam ne kadar dağınıksa sorunlara çözüm bulmak da o kadar zor olabiliyor. Bu noktada da uzmanlar karmaşıklığı azaltabilecek en etkili yönteme, donanım otomasyonuna dikkat çekiyor. Bu şekilde hem birimler arasındaki entegrasyon kolaylaşıyor hem de ekipler siber vakaları daha verimli bir şekilde tespit edebiliyor.
Araştırma sonucunda ortaya çıkan temel eylem konularından elbette önde geleni siber güvenliğin yalnızca varlıkların korunmasıyla ilgili olmadığı. Siber güvenlik iyi uygulanırsa kurum çapında inovasyonu, dolayısıyla şirketin katma değerini de destekleyebilir. Bu noktada personelin siber güvenlik alanında düzenli eğitim alması da faydalı ve gerekli bir başka adım olabilir. İlaveten en yeni otomasyon ve önleyici araçlardan yararlanarak daha etkili bir siber güvenlik sistemi de kurulabilir.